翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 機密データ検出結果の保存と保持
機密データ検出ジョブを実行するか、Amazon Macie が機密データ自動検出を実行すると、Macie は分析のスコープに含まれる各 Amazon Simple Storage Service (Amazon S3) オブジェクトの分析レコードを作成します。これらのレコードは機密データ検出結果と呼ばれ、Macie が個々の S3 オブジェクトに対して実行した分析の詳細を記録します。これには、Macie が機密データを検出しないために検出結果を生成しないオブジェクト、およびエラーや問題のために Macie が分析できないオブジェクトが含まれます。Macie がオブジェクト内で機密データを検出する場合、レコードには対応する検出結果のデータと追加情報が含まれます。機密データの検出結果から、データプライバシーと保護の監査や調査に役立つ分析レコードが得られます。
Macie は機密データの検出結果を 90 日間だけ保存します。機密データの検出結果にアクセスし、それらの長期保存と保持を有効化するには、結果を S3 バケットに保存し、 AWS Key Management Service AWS KMSキーを用いて暗号化するように Macie を設定します。バケットは、機密データの検出結果のすべての最終的で長期的なリポジトリとして機能します。次に、オプションで、そのリポジトリ内の結果にアクセスしてクエリを実行できます。
このトピックでは、 を使用して機密データ検出結果のリポジトリ AWS マネジメントコンソール を設定するプロセスについて説明します。設定は、結果を暗号化する AWS KMS key 、結果を保存する S3 汎用バケット、使用するキーとバケット指定する Macie 設定の組み合わせです。Macie 設定をプログラムで設定する場合は、Amazon Macie APIの[分類エクスポート設定を入れる](https://docs.aws.amazon.com/macie/latest/APIReference/classification-export-configuration.html)オペレーションを使用できます。
Macie で設定を設定すると、選択は現在の AWS リージョンにのみ適用されます。お客様が組織の Macie 管理者である場合、選択はお客様のアカウントにのみ適用されます。選択は、関連付けられたメンバーアカウントには適用されません。機密データ自動検出を有効にするか、機密データ検出ジョブを実行してメンバーアカウントのデータを分析すると、Macie は機密データ検出結果を管理者アカウントのリポジトリに保存します。
複数の で Macie を使用する場合は AWS リージョン、Macie を使用するリージョンごとにリポジトリ設定を構成します。オプションで、複数のリージョンの機密データ検出結果を同じ S3 バケットに保存できます。ただし、次の要件に注意してください。
+ 米国東部 (バージニア北部) リージョンなど AWS アカウント、 でデフォルトで AWS を有効にするリージョンの結果を保存するには、デフォルトで有効になっているリージョンでバケットを選択する必要があります。結果は、オプトインリージョン (デフォルトで無効になっているリージョン) のバケットに保存できません。
+ 中東 (バーレーン) リージョンなど、オプトインリージョンの結果を保存するには、同じリージョンまたはデフォルトで有効になっているリージョンのバケットを選択する必要があります。別のオプトインリージョンのバケットに結果を保存することはできません。
リージョンがデフォルトで有効になっているかどうかを確認するには、*AWS アカウント管理 「 ユーザーガイド*」の[「アカウント AWS リージョン で有効または無効に](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)する」を参照してください。上記の要件に加えて、Macie が個々の検出結果で報告する[機密データのサンプルを取得する](findings-retrieve-sd.md)かどうかも検討してください。影響を受ける S3 オブジェクトから機密データサンプルを取得するには、影響を受けるオブジェクト、該当する検出結果、および対応する機密データ検出結果のリソースとデータがすべて同じリージョンに保存されている必要があります。
**Topics**
+ [開始する前に: 主要な概念を学ぶ](#discovery-results-repository-s3-overview)
+ [ステップ 1: アクセス許可を確認する](#discovery-results-repository-s3-permissions)
+ [ステップ 2: を設定する AWS KMS key](#discovery-results-repository-s3-key-policy)
+ [ステップ 3: S3 バケットを選択する](#discovery-results-repository-s3-choose-bucket)
## 開始する前に: 主要な概念を学ぶ
Amazon Macie は、ユーザーが機密データ検出ジョブを実行したとき、または機密データ自動検出が実行されたときに、分析したり、分析を試みたりする Amazon S3 オブジェクトごとに機密データ検出の結果を自動的に作成します。これには、以下が含まれます。
+ Macie が機密データを検出したオブジェクトなので、機密データの検出結果も生成されます。
+ Macie が機密データを検出しないため、機密データの検出結果も生成されないオブジェクト。
+ アクセス許可設定やサポートされていないファイルやストレージ形式の使用などのエラーや問題のため Macie が分析できないオブジェクト。
Macie が S3 オブジェクト内の機密データを検出すると、機密データの検出結果には、対応する機密データの調査結果のデータが含まれます。また、Macie がオブジェクト内で検出した機密データのタイプごとに最大 1,000 個までの出現の場所などの追加情報も提供します。例:
+ Microsoft Excel ワークブック、CSV ファイル、または TSV ファイル内のセルまたはフィールドの列番号と行番号
+ JSON または JSON Lines ファイル内のフィールドまたは配列へのパス
+ CSV、JSON、JSON Lines、または TSV ファイル以外の非バイナリテキストファイル (HTML、TXT、XML ファイルなど) 内の行の行番号
+ Adobe Portable Document Format (PDF) ファイル内のページのページ番号
+ Apache Avro オブジェクトコンテナまたは Apache Parquet ファイル内のレコードのレコードインデックスとフィールドへのパス
S3 オブジェクトが .tar ファイルや .zip ファイルなどのアーカイブファイルである場合、機密データの検出結果では、Macie がアーカイブファイルから抽出した個別のファイル内の機密データの出現に関する詳細な場所データも提供されます。Macie は、アーカイブファイルの機密データの調査結果にこの情報を含めません。位置データを報告するために、機密データ検出結果は[標準化された JSON スキーマ](findings-locate-sd-schema.md)を使用します。
機密データの検出結果には、Macie が検出した機密データは含まれません。代わりに、監査や調査に役立つ分析レコードが提供されます。
Macie は機密データの検出結果を 90 日間保存します。Amazon Macie コンソールまたは Amazon Macie API からそれらに直接アクセスすることはできません。代わりに、このトピックの手順に従って、 AWS KMS key 指定した で結果を暗号化するように Macie を設定し、指定した S3 汎用バケットに結果を保存します。その後、Macie は結果を JSON Lines (.jsonl) ファイルに書き込み、そのファイルを GNU Zip (.gz) ファイルとしてバケットに追加し、SSE-KMS 暗号化を使用してデータを暗号化します。2023 年 11 月 8 日現在、Macie は結果の S3 オブジェクトにもハッシュベースのメッセージ認証コード (HMAC) で署名しています AWS KMS key。
機密データ検出の結果を S3 バケットに保存するように Macie を設定すると、バケットは、結果の最終的な長期リポジトリとして機能します。次に、オプションで、そのリポジトリ内の結果にアクセスしてクエリを実行できます。
**ヒント**
機密データ検出結果をクエリして使用して潜在的なデータセキュリティリスクを分析およびレポートする方法の詳細な説明例については、 *AWS セキュリティ*ブログのブログ記事「Amazon [ Amazon Athenaと Amazon Quick を使用して Macie 機密データ検出結果をクエリおよび視覚化する方法](https://aws.amazon.com/blogs/security/how-to-query-and-visualize-macie-sensitive-data-discovery-results-with-athena-and-quicksight/)」を参照してください。
機密データの検出結果の分析に使用できる Amazon Athena クエリのサンプルについては、GitHub の [Amazon Macie 結果分析リポジトリ](https://github.com/aws-samples/amazon-macie-results-analytics)を参照してください。このリポジトリでは、結果を取得および復号化するように Athena を設定する手順と、結果のテーブルを作成するためのスクリプトも提供します。
## ステップ 1: アクセス許可を確認する
機密データの検出結果のリポジトリを設定する前に、結果を暗号化して保存するために必要なアクセス許可があることを確認します。アクセス許可を確認するには、 AWS Identity and Access Management (IAM) を使用して、IAM ID にアタッチされている IAM ポリシーを確認します。次にこれらのポリシー内の情報を、リポジトリを設定するために実行が許可される必要がある次のアクションのリストと比較します。
**Amazon Macie**
Macie の場合、次のアクションの実行が許可されていることを確認します。
`macie2:PutClassificationExportConfiguration`
このアクションにより、Macie のリポジトリ設定の追加または変更が許可されます。
**Amazon S3**
Amazon S3 の場合、次のアクションの実行が許可されていることを確認します。
+ `s3:CreateBucket`
+ `s3:GetBucketLocation`
+ `s3:ListAllMyBuckets`
+ `s3:PutBucketAcl`
+ `s3:PutBucketPolicy`
+ `s3:PutBucketPublicAccessBlock`
+ `s3:PutObject`
これらのアクションにより、リポジトリとして機能できる S3 汎用バケットへのアクセスと設定が許可されます。
**AWS KMS**
Amazon Macie コンソールを使用してリポジトリ設定を追加または変更するには、次の AWS KMS アクションの実行が許可されていることを確認します。
+ `kms:DescribeKey`
+ `kms:ListAliases`
これらのアクションにより、アカウントの AWS KMS keys に関する情報を取得して表示することが許可されます。その後、これらのキーのいずれかを選択して、機密データの検出結果を暗号化できます。
データを暗号化 AWS KMS key するために新しい を作成する場合は、`kms:CreateKey`、、`kms:GetKeyPolicy`および のアクションを実行することも許可する必要があります`kms:PutKeyPolicy`。
必要なアクションを実行することが許可されていない場合は、次のステップに進む前に AWS 管理者にサポートを依頼してください。
## ステップ 2: を設定する AWS KMS key
アクセス許可を確認したら、Macie AWS KMS key が機密データ検出結果を暗号化するために使用するものを決定します。キーは、結果を保存する S3 バケット AWS リージョン と同じ で有効になっているカスタマー管理の対称暗号化 KMS キーである必要があります。
キーは、自分のアカウント AWS KMS key から既存の にすることも、別のアカウント AWS KMS key が所有する既存の にすることもできます。新しい KMS キーを使用する場合は、先に進む前にキーを作成します。別のアカウントが所有する既存のキーを使用する場合、キーの Amazon リソースネーム (ARN) を取得します。Macie でリポジトリ設定を設定するときに、この ARN を入力する必要があります。KMS キー設定の作成と確認については、[https://docs.aws.amazon.com/kms/latest/developerguide/overview.html](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)AWS Key Management Service デベロッパーガイドを参照してください。
**注記**
キーは、外部キーストア AWS KMS key の にすることができます。ただし、そのキーは、完全に AWS KMS内で管理されるキーよりも遅く、信頼性が低くなる可能性があります。機密データの検出結果を S3 バケットキーとして使用するように設定された S3 バケットに保存することで、このリスクを軽減できます。そうすることで、機密データディスカバリーの結果を暗号化するために行う必要のある AWS KMS リクエストの数が減ります。
外部キーストアで KMS キーを使用する方法については、AWS Key Management Service デベロッパーガイドの[外部キーストア](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html)を参照してください。S3 バケットキー使用の詳細については、Amazon Simple Storage Service ユーザーガイドの、[Amazon S3 バケットキーを使用した SSE-KMS のコストの削減](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)を参照してください。
Macie が使用する KMS キーを決定した後、Macie にそのキーを使用するアクセス許可を付与します。そうしないと、Macie はリポジトリで結果を暗号化したり保存したりすることができなくなります。Macie にキーを使用するアクセス許可を付与するには、キーのポリシーを更新します。キーポリシーと KMS キーへのアクセス管理の詳細については、AWS Key Management Service デベロッパーガイドの AWS KMSの[キーポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)を参照してください。
**キーポリシーを更新するには**
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開きます。
1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。
1. 機密データ検出の結果を暗号化するために Macie に使用させるキーを選択します。
1. **アクセスポリシー** タブで **編集** を選択します。
1. 次のステートメントをクリップボードにコピーして、それをポリシーに追加します。
```
{
"Sid": "Allow Macie to use the key",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Encrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:{{us-east-1}}:{{111122223333}}:export-configuration:*",
"arn:aws:macie2:{{us-east-1}}:{{111122223333}}:classification-job/*"
]
}
}
}
```
**注記**
ステートメントをポリシーに追加するときは、構文が有効であることを確認します。ポリシーは JSON 形式を使用します。またこれは、ステートメントをポリシーに追加する場所に応じて、ステートメントの前後にカンマを追加する必要があることを意味します。ステートメントを最後のステートメントとして追加する場合は、前のステートメントの中括弧の後にカンマを追加します。最初のステートメントとして追加するか、既存の 2 つのステートメントの間に追加する場合は、中括弧の後にカンマを追加します。
1. ステートメントを環境に対して正しい値で更新します。
+ `Condition` フィールドで、プレースホルダーの値を置き換えます。ここで、
+ {{111122223333}} は、お客様の AWS アカウントのアカウント ID です。
+ {{us-east-1}} は、Macie を使用していて、Macie AWS リージョン にキーの使用を許可する のリージョンコードです。
複数のリージョンで Macie を使用していて、追加のリージョンでの Macie のキーの使用を許可する場合は、追加のリージョンごとに `aws:SourceArn` 条件を追加します。例:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
"arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]
```
代わりに、all (すべての) リージョンで Macie のキーの使用を許可することもできます。これを行うには、プレースホルダー値をワイルドカード文字 () に置き換えます`*`。例えば、次のようになります。
```
"aws:SourceArn": [
"arn:aws:macie2:*:111122223333:export-configuration:*",
"arn:aws:macie2:*:111122223333:classification-job/*"
]
```
+ オプトインリージョンで Macie を使用している場合は、適切なリージョンコードを `Service` フィールドの値に追加します。たとえば、リージョンコード を持つ中東 (バーレーン) リージョンで Macie を使用している場合は、 を *me-south-1*`macie.amazonaws.com`に置き換えます`macie.me-south-1.amazonaws.com`。
Macie が現在利用可能なリージョンのリストと、それぞれのリージョンコードについては、AWS 全般のリファレンスの [ Amazon Macie のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)を参照してください。
`Condition` フィールドでは、2 つの IAM グローバル条件キーを使用することに注意してください。。
+ [aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — この条件により、Macie がお客様のアカウントに対してのみ指定されたアクションを実行することを許可します。具体的には、`aws:SourceArn` 条件で指定されたリソースおよびアクションに対して、指定されたアクションを実行できるアカウントを決定します。
Macie が追加のアカウントに対して指定されたアクションを実行することを許可するには、追加の各アカウントのアカウント ID をこの条件に追加します。例:
```
"aws:SourceAccount": [111122223333,444455556666]
```
+ [aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — この条件により、他の AWS のサービス が指定されたアクションを実行するのを防ぎます。また、Macie がお客様のアカウントで他のアクションを実行中にキーを使用するのを防ぐこともできます。つまり、オブジェクトが機密データ検出の結果であり、その結果が機密データ自動検出または指定されたリージョンの指定されたアカウントによって作成された機密データ検出ジョブについてのものである場合にのみ、Macie がキーを使用して S3 オブジェクトを暗号化することが許可されます。
Macie が追加のアカウントで指定したアクションを実行することを許可するには、追加のアカウントごとに ARN をこの条件に追加します。例:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
"arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]
```
`aws:SourceAccount` と `aws:SourceArn` の条件によって指定されたアカウントは、一致する必要があります。
これらの条件は、Macie がトランザクション中に[混乱した代理](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)として使用されるのを防ぐのに役立ちます AWS KMS。お勧めしませんが、ステートメントからこれらの条件を削除できます。
1. ステートメントの追加と更新が完了したら、**変更を保存する** を選択します。
## ステップ 3: S3 バケットを選択する
アクセス許可を確認して を設定したら AWS KMS key、機密データ検出結果のリポジトリとして使用する S3 バケットを指定する準備が整います。これには 2 つのオプションがあります。
+ **Macie が作成する新しい S3 バケット**を使用する – このオプションを選択すると、Macie は検出結果 AWS リージョン 用に現在の に新しい S3 汎用バケットを自動的に作成します。また、Macie はバケットにバケットポリシーを適用します。このポリシーでは、Macie がバケットにオブジェクトを追加することを許可します。また、SSE-KMS 暗号化を使用して、指定した AWS KMS key でオブジェクトを暗号化する必要もあります。ポリシーを確認するには、バケットの名前と使用する KMS キーを指定した後、Amazon Macie コンソールで **[ポリシーを表示]** を選択します。
+ **作成した既存の S3 バケットを使用する** — 特定の S3 バケットに検出結果を保存する場合は、続行する前にバケットを作成します。バケットは汎用バケットである必要があります。さらに、バケットの設定とポリシーでは、Macie がバケットにオブジェクトを追加することを許可する必要があります。このトピックでは、チェックする設定はどれか、およびポリシーの更新方法について説明します。また、ポリシーに追加するステートメントの例も示します。
以下のセクションでは、各オプションの手順について説明します。目的のオプションのセクションを選択します。
### Macie が作成した新しい S3 バケットを使用します。
Macie が作成した新しい S3 バケットを使用する場合は、プロセスの最後のステップは、Macie でリポジトリ設定を設定することです。
**Macie でリポジトリ設定を設定するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインの **設定** の下で、**検出結果** を選択します。
1. **機密データの検出結果のリポジトリ** の下で、**バケットを作成する** を選択します。
1. **バケットを作成する** ボックスで、バケットの名前を入力します。
名前はすべての S3 バケットで一意である必要があります。また、名前は、小文字、数字、ドット (.)、およびハイフン (-) のみで設定できます。追加の命名要件については、*Amazon Simple Storage Service ユーザーガイド*の[バケットの名前付けルール](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)を参照してください。
1. **詳細設定** セクションを展開します。
1. (オプショナル) バケット内の場所へのパスに使用するプレフィックスを指定するには、**データ検出結果のプレフィックス** ボックスにプレフィックスを入力します。
値を入力すると、Macie はボックスの下の例を更新して、検出結果を保存するバケットの場所へのパスを表示します。
1. **すべてのパブリックアクセスをブロックする**で**はい**を選ぶと、バケツに対するすべての公開ブロック設定が有効になります。
これらの設定の詳細については、*Amazon Simple Storage Service ユーザーガイド*の[Amazon S3 ストレージへのパブリックアクセスのブロック](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)を参照してください。
1. **[暗号化設定]** で、結果を暗号化するために Macie に使用させる AWS KMS key を指定します。
+ 自分のアカウントにキーを使用するには、**アカウントからキーを選択する** を選択します。そして、**AWS KMS key**リストからユーザー名を選択します。リストには、お客様のアカウントの、お客様が管理する対称暗号化 KMS キーが表示されます。
+ 別のアカウントが所有し、使用が許可されているキーを使用するには、**別のアカウントのキーの ARN を入力する** を選択します。次に、**AWS KMS key ARN** ボックスに、使用するキーの Amazon リソースネーム (ARN) を入力します。例えば、**`arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`**
1. 設定の入力が完了したら、**保存** を選択します。
Macie は設定をテストして、それらが正しいことを確認します。正しくない設定がある場合、Macie は問題への対処に役立つエラーメッセージを表示します。
リポジトリ設定を保存した後、Macie は過去 90 日間の既存の検出結果をリポジトリに追加します。また、Macie は、新しい検出結果をリポジトリに追加し始めます。
### 作成した既存の S3 バケットを使用します。
機密データの検出結果を、作成した特定の S3 バケットに保存する場合は、Macie で設定を設定する前に、バケットを作成して設定します。バケットを作成する際は、次の各要件に注意してください。
+ バケットは汎用バケットである必要があります。ディレクトリバケットなど、別のタイプのバケットにすることはできません。
+ 米国東部 (バージニア北部) リージョンなど AWS アカウント、デフォルトで有効になっているリージョンの検出結果を保存するには、バケットがデフォルトで有効になっているリージョンにある必要があります。結果は、オプトインリージョン (デフォルトで無効になっているリージョン) のバケットに保存できません。
+ 中東 (バーレーン) リージョンなど、オプトインリージョンについての検出の結果を保存するには、バケットは、同じリージョンまたはデフォルトで有効になっているリージョンに存在している必要があります。別のオプトインリージョンのバケットに結果を保存することはできません。
リージョンがデフォルトで有効になっているかどうかを確認するには、「*AWS アカウント管理 ユーザーガイド*」の「[アカウントでの AWS リージョン の有効化または無効化](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)」を参照してください。
バケットを作成したら、バケットのポリシーを更新して、Macie がバケットに関する情報を取得し、バケットにオブジェクトを追加することを許可します。これで、Macie で設定を構成できます。
**バケットのバケットポリシーを更新するには**
1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。
1. 検出結果を保存するバケットを選択します。
1. **アクセス許可** タブを選択します。
1. **バケットポリシー** セクションで、**編集** を選択します。
1. 次のポリシー例をクリップボードにコピーします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Macie to use the GetBucketLocation operation",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:{{us-east-1}}:{{111122223333}}:export-configuration:*",
"arn:aws:macie2:{{us-east-1}}:{{111122223333}}:classification-job/*"
]
}
}
},
{
"Sid": "Allow Macie to add objects to the bucket",
"Effect": "Allow",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/{{[optional prefix/]}}*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{111122223333}}"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:macie2:{{us-east-1}}:{{111122223333}}:export-configuration:*",
"arn:aws:macie2:{{us-east-1}}:{{111122223333}}:classification-job/*"
]
}
}
},
{
"Sid": "Deny unencrypted object uploads. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/{{[optional prefix/]}}*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption headers. This is optional",
"Effect": "Deny",
"Principal": {
"Service": "macie.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/{{[optional prefix/]}}*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "{{arn:aws:kms:us-east-1:{{111122223333}}:key/KMSKeyId}}"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. ポリシー例をAmazon S3 コンソールの **バケットポリシー** エディタに貼り付けます。
1. ポリシー例を環境に対して正しい値で更新します。
+ 不正な暗号化ヘッダーを拒否するオプションのステートメントでは、以下を行います。
+ {{amzn-s3-demo-bucket}} をバケットの名前に置き換えます。バケット内の場所へのパスにもプレフィックスを指定するには、{{[optional prefix/]}} をプレフィックスに置き換えます。それ以外の場合は、{{[optional prefix/]}} プレースホルダー値を削除します。
+ `StringNotEquals` 条件で、{{arn:aws:kms:us-east-1:111122223333:key/KMSKeyId}} AWS KMS key を、検出結果の暗号化に使用する の Amazon リソースネーム (ARN) に置き換えます。
+ 他のすべてのステートメントでは、プレースホルダーの値を置き換えます。ここで、
+ {{amzn-s3-demo-bucket}} はバケットの名前です。
+ {{[optional prefix/]}} は、バケット内の場所へのパスのプレフィックスです。プレフィックスを指定しない場合は、このプレースホルダー値を削除します。
+ {{111122223333}} は、お客様の AWS アカウントのアカウント ID です。
+ {{us-east-1}} は、Macie を使用していて、Macie AWS リージョン が検出結果をバケットに追加できるようにする のリージョンコードです。
複数のリージョンで Macie を使用していて、追加のリージョンで Macie が結果をバケットに追加することを許可する場合は、追加のリージョンごとに `aws:SourceArn` 条件を追加します。例:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-west-2:111122223333:export-configuration:*",
"arn:aws:macie2:us-west-2:111122223333:classification-job/*"
]
```
代わりに、all (すべての) リージョンで Macie が結果をバケットに追加することを許可することもできます。これを行うには、プレースホルダー値をワイルドカード文字 () に置き換えます`*`。例えば、次のようになります。
```
"aws:SourceArn": [
"arn:aws:macie2:*:111122223333:export-configuration:*",
"arn:aws:macie2:*:111122223333:classification-job/*"
]
```
+ オプトインリージョンで Macie を利用している場合は、Macie サービスプリンシパルを指定するステートメントごとに、適切なリージョンコードを `Service` フィールドの値に追加します。たとえば、リージョンコード を持つ中東 (バーレーン) リージョンで Macie を使用している場合*me-south-1*は、該当する各ステートメント`macie.me-south-1.amazonaws.com`で `macie.amazonaws.com`を に置き換えます。
Macie が現在利用可能なリージョンのリストと、それぞれのリージョンコードについては、AWS 全般のリファレンスの [Amazon Macie のエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/macie.html)を参照してください。
ポリシー例には、Macie がバケットが存在するリージョン (`GetBucketLocation`) を判断したり、オブジェクトをバケット (`PutObject`) に追加したりすることを許可するステートメントが含まれていることに留意してください。これらのステートメントは、2 つの IAM グローバル条件キーを使用する条件を定義します。
+ [aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) — この条件により、Macie がアカウントに対してのみ機密データの検出結果をバケットに追加することを許可します。これにより、Macie が他のアカウントの検出結果をバケットに追加するのを防ぎます。具体的には、条件は、`aws:SourceArn` 条件で指定されたリソースおよびアクションに対して、バケットを使用できるアカウントを指定します。
バケット内の追加アカウントの結果を保存するには、追加のアカウントごとにアカウント ID をこの条件に追加します。例:
```
"aws:SourceAccount": [111122223333,444455556666]
```
+ [aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) — この条件により、バケットに追加されているオブジェクトのソースに基づいて、バケットへのアクセスを制限します。これにより、他の AWS のサービス がバケットにオブジェクトを追加できなくなります。また、Macie がお客様のアカウントで他のアクションを実行中にオブジェクトをバケットに追加するのを防ぐこともできます より具体的には、この条件により、オブジェクトが機密データ検出の結果であり、それらの結果が自動機密データ検出または指定されたリージョンの指定されたアカウントによって作成された機密データ検出ジョブについてのものである場合にのみ、Macie がオブジェクトをバケットに追加することが許可されます。
Macie が追加のアカウントで指定したアクションを実行することを許可するには、追加のアカウントごとに ARN をこの条件に追加します。例:
```
"aws:SourceArn": [
"arn:aws:macie2:us-east-1:111122223333:export-configuration:*",
"arn:aws:macie2:us-east-1:111122223333:classification-job/*",
"arn:aws:macie2:us-east-1:444455556666:export-configuration:*",
"arn:aws:macie2:us-east-1:444455556666:classification-job/*"
]
```
`aws:SourceAccount` と `aws:SourceArn` の条件によって指定されたアカウントは、一致する必要があります。
どちらの条件も、Macie が Amazon S3 とのトランザクション中に [confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) (混乱した代理) として使用されるのを防ぐのに役立ちます。お勧めしませんが、バケットポリシーからこれらの条件を削除できます。
1. バケットポリシーの更新が完了したら、**変更を保存する** を選択します。
Macie でリポジトリ設定を設定できるようになりました。
**Macie でリポジトリ設定を設定するには**
1. Amazon Macie コンソール ([https://console.aws.amazon.com/macie/](https://console.aws.amazon.com/macie/)) を開きます。
1. ナビゲーションペインの **設定** の下で、**検出結果** を選択します。
1. **機密データの検出結果のリポジトリ** の下で、**既存のバケット** を選択します。
1. **バケットを選択する** で、検出結果を保存するバケットを選択します。
1. バケット内の場所へのパスにプレフィックスを指定するには、**[詳細設定]** セクションを展開します。次に、**[データ検出結果プレフィックス]** で、プレフィクスを入力します。
値を入力すると、Macie はボックスの下の例を更新して、検出結果を保存するバケットの場所へのパスを表示します。
1. **[暗号化設定]** で、結果を暗号化するために Macie に使用させる AWS KMS key を指定します。
+ 自分のアカウントにキーを使用するには、**アカウントからキーを選択する** を選択します。そして、**AWS KMS key**リストからユーザー名を選択します。リストには、お客様のアカウントの、お客様が管理する対称暗号化 KMS キーが表示されます。
+ 別のアカウントが所有し、使用が許可されているキーを使用するには、**別のアカウントのキーの ARN を入力する** を選択します。次に、**AWS KMS key ARN** ボックスに、使用するキーの ARN を入力します。例えば、**arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab**
1. 設定の入力が完了したら、**保存** を選択します。
Macie は設定をテストして、それらが正しいことを確認します。正しくない設定がある場合、Macie は問題への対処に役立つエラーメッセージを表示します。
リポジトリ設定を保存した後、Macie は過去 90 日間の既存の検出結果をリポジトリに追加します。また、Macie は、新しい検出結果をリポジトリに追加し始めます。
**注記**
その後に **[データ検出の結果のプレフィックス]** の設定を変更する場合は、Amazon S3 のバケットポリシーも更新します。以前のプレフィックスを指定するポリシーステートメントでは、新しいプレフィックスを指定する必要があります。指定しない場合、Macie は検出の結果をバケットに追加することが許可されません。
**ヒント**
サーバー側の暗号化コストを削減するには、S3 バケットキーを使用するように S3 バケットを設定し、機密データ検出結果の暗号化用に AWS KMS key 設定した を指定します。S3 バケットキーを使用すると、 への呼び出し回数が減少し AWS KMS、 AWS KMS リクエストコストを削減できます。KMS キーが外部キーストアにある場合は、S3 バケットキーを使用することでキーの使用によるパフォーマンスへの影響を最小限に抑えることができます。詳細については、Amazon Simple Storage Service ユーザーガイドの[Amazon S3 バケットキーを使用した SSE-KMS のコストの削減](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)を参照してください。